Con la llegada de la EU AI Act o ley de inteligencia artificial llegan importantes cambios para muchos tipos de negocios. Nuevas obligaciones que cumplir en un momento en el que el margen para la improvisación se reduce, con importantes sanciones y riesgos reputacionales por incumplimiento.
En mayo de 2026 se anunció el retraso en la implantación de algunas de las medidas. Ahora bien, algunas de las exigencias (como la de la formación) ya están en vigor, y el cumplimiento con el resto de las disposiciones es también inminente.
La normativa exige algo muy concreto: que la IA se utilice con controles reales y verificables. Una normativa que apunta hacia modelos como Human-on-the-Loop en los que existen garantías de supervisión humana continua para que los sistemas operen dentro de un marco legal y ético que pueda demostrarse cuando sea necesario.
A continuación, abordamos el cumplimiento de la EU AI Act para empresas desde un punto de vista práctico: ¿cuál es el calendario de entrada en vigor?, ¿qué sanciones se prevén?, y ¿qué pasos dar para prepararse para el cumplimiento e implementar controles reales? Lo abordamos a continuación.
La EU AI Act entró en vigor en agosto de 2024, estableciendo el siguiente calendario de cumplimiento:
2 febrero 2025: se aplican disposiciones generales (definiciones y amplificación; alfabetización en IA) y prohibiciones.
02 ago 2025: se aplican normas para la IA de uso general y debe existir gobernanza.
Las obligaciones de la Ley de IA para los proveedores de modelos de IA de uso general entran en vigor.
Los Estados miembros deben designar a las autoridades nacionales competentes y adoptar leyes nacionales sobre sanciones.
Debe crearse una gobernanza a escala de la UE (Consejo de IA, Comisión Técnica Científica, Foro Consultivo).
02 ago 2026: la mayoría de las normas de la Ley de IA entran en vigor y comienza su aplicación.
Entran en vigor las normas relativas a los sistemas de IA de alto riesgo que figuran en el anexo III.
Comienzan a aplicarse las normas de transparencia (artículo 50).
Se aplican medidas de apoyo a la innovación.
Los Estados miembros deben disponer de al menos un espacio controlado de pruebas para la IA por país establecido.
La aplicación de la Ley de IA comienza a escala nacional y de la UE.
02 ago 2027: se aplican normas para la IA de alto riesgo integrada en productos regulados
En mayo de 2026, se acuerda modificar el calendario de aplicación obligatoria para algunas de las disposiciones: la normativa de los sistemas de alto riesgo que entraba en cumplimiento en agosto de 2026 se retrasa a diciembre de 2027. Además, la obligación de etiquetado y marcas de agua en contenidos generados por IA (los conocidos como deepfakes) entra en vigor en diciembre de 2026.
Hasta 35 millones de euros o el 7% de la facturación anual por incumplimiento de las normas sobre prácticas prohibidas o requisitos de datos.
Hasta 15 millones de euros o el 3% de la facturación anual por incumplimiento de cualquier otra obligación regulatoria.
Hasta 7,5 millones de euros o el 1,5% de la facturación anual por facilitar información incorrecta, incompleta o engañosa sobre los sistemas de IA utilizados.
Los requisitos de cumplimiento son diferentes dependiendo del tipo de sistemas (que se dividen en 4 niveles de riesgo) y del rol de cada organización (si es usuaria, productora, distribuidora… de sistemas con IA). No obstante, para la mayoría de organizaciones pequeñas y medianas con un uso de IA de riesgo limitado o mínimo, el cumplimiento se basa en los siguientes pilares:
Inventario de sistemas, clasificando cada uno por nivel de riesgo según la EU AI Act y teniendo visibilidad sobre las obligaciones de protección de datos en cada uno de ellos. En caso de que se utilicen sistemas de alto riesgo, mantener registros sobre su diseño, funcionamiento y qué medidas de control se incorporan respecto al sistema.
Desarrollo de políticas internas de uso, que incluyan los tipos de datos permitidos, los responsables de cada sistema y los flujos de aprobación para nuevas implementaciones.
Implementar un programa de formación del equipo documentado y adaptado a cada tipo de rol.
Establecer mecanismos de revisión y control humano en los sistemas que lo requieran.
Definir procesos de revisión para actualizar el inventario y las políticas de forma regular, incorporando posibles nuevas herramientas o cambios en la regulación.
Además, los siguientes pasos sirven como modelo de preparación para el cumplimiento:
Inventario de sistemas de IA: la organización debe comenzar por realizar un mapeo completo de los sistemas de IA utilizados o desarrollados.
Clasificación de los sistemas según nivel de riesgo: según criterio de la ley de inteligencia artificial, existen sistemas de riesgo inaceptable, alto, limitado o mínimo. Es importante conocer la categoría de los sistemas utilizados ya que, para cada una, existen normativas específicas.
Análisis de cumplimiento: se debe comprobar que cada una de las herramientas utilizadas cumplen con lo especificado en la EU AI Act, identificando qué brechas concretas existen en el cumplimiento.
Más allá de los sistemas tecnológicos, en el análisis de cumplimiento es también preciso detectar si se han puesto en marcha las iniciativas de formación y alfabetización en IA. Obligatorio desde agosto de 2026, este tipo de iniciativas deben formar a los empleados para que comprendan el funcionamiento, límites y riesgos éticos de los sistemas de IA.
4. Definición de la hoja de ruta: detectados los posibles problemas, llega el momento de definir estrategias para subsanarlos, priorizando según gravedad y el calendario de obligación de cumplimiento.
En el centro del cumplimiento con la ley de inteligencia artificial se encuentra un uso transparente y ético de este tipo de sistemas, en el que la supervisión humana actúa como garantía de que las decisiones están controladas y pueden explicarse cuando es necesario.
En la búsqueda de soluciones, los servicios de supervisión humana de Fundación Juan XXIII – Digital Data ofrecen soluciones adaptadas al cumplimiento de la EU AI Act, pudiendo funcionar como validación activa, gestión de excepciones, auditoría o supervisión operativa.
Un servicio que adapta el modelo de supervisión al nivel de madurez y criticidad de cada proceso bajo el enfoque unificado Human-on-the-Loop. Además, este modelo se diseña para tener en cuenta la diversidad humana, con datos diversos y accesibles y ejemplos representativos de todos los perfiles, incluyendo personas con discapacidad intelectual, baja alfabetización digital o personas mayores. Una capa de valor clave para el cumplimiento con la ley de inteligencia artificial, que busca un uso ético y sin sesgos en este tipo de sistemas.
Mediante este servicio, se consigue fortalecer la calidad y el control en los sistemas (ya que quedan sometidos a validación desde perspectivas cognitivas y culturales sin sesgos) y generar evidencias (obteniendo trazabilidad completa sobre cada intervención humana).
Descubre nuestros servicios de supervisión humana y da un paso en firme para el uso de la IA con garantías éticas y bajo el cumplimiento de la EU AI Act.